:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
事件通告
分隔線
Petya 變種勒索軟體正在全球擴散攻擊中,建議請儘速檢查並安裝修補程式!(2017/06/28)
 
詳細描述:
【Petya 勒索軟體分析簡介】

2017年6月28日Petya 變種勒索軟體(ExPetr, PetyaWrap) 再度引起大規模攻擊,根據中華情資蒐集指出,目前烏克蘭、法國、德國都有持續範圍加大,受害產業類別包括電廠、ATM、銀行體系都遭受攻擊成功,而且影響範圍從Windows 7~10如還未更新弱點之設備都有可能,截至2017/6/28為止,Petya勒索軟體贖金已收到8,988.61美元,相當於台幣278,646元,且給付贖款持續增加中。

本次的攻擊流程,從中華資安專家分析後確認使用兩種弱點(CVE-2017-0199、CVE-2017-0145)合併的方式進行攻擊,同時進行內部擴散感染:
(1) 由於CVE-2017-0145 (MS17-010) 的弱點已無法再從遠端直接進行攻擊,駭客改採用釣魚信件的方式,誘騙使用者點選含有惡意執行緒的office 文件(CVE-2017-0199)。
(2) 點選惡意檔案後,受害電腦會再從網路端下載加密檔案程式,並在執行後1小時後才重新開機進行偽裝磁碟掃描視窗進行加密行為。
(3) 加密MFT(Master File Table)檔案列表並改變MBR位置,讓受害者無法進到原本的開機畫面,並直接進入勒索展示頁面(純MS-DOS 畫面)。
(4) 攻擊成功後不會再傳送任何C&C位置進行報到,受害者需透過其他電腦進行贖款後獲得解密金鑰。

另外,透過中華情資人員分析後,確認以下中繼站網址為downloader惡意程式下載點,敬請客戶先進行封鎖(為避免誤點link,已用[]隔開最後一碼):
(1) french-cooking[.]com/myguy.exe
(2) 84.200.16[.]242/myguy.xls
(3) 185.165.29[.]78
(4) 84.200.16[.]242
(5) 111.90.139[.]247
(6) 95.141.115[.]108
(7) 185.165.29[.]78/~alex/svchost.exe
(8) coffeinoffice[.]xyz
目前雖已停止該送信mail address 收取贖金(wowsmith123456[@]posteo.net) ,但仍有其他Email帳號仍持續活動中(iva76y3pr[@]outlook.com 、carmellar4hegp[@]outlook.com 、amanda44i8sq[@]outlook.com) (為避免誤點mail address,已用[]隔開)。

【影響範圍】

  • Windows 作業系統

【防護建議】

HiNet SOC提供弱點修補程式更新辦法與其他已可偵測病毒之廠商清單,並請勿點選來路不明之社交工程釣魚信件,供客戶參考評估。

1. 弱點修補程式更新
盡速更新CVE-2017-0199與CVE-2017-0145弱點更新程式:
(1) CVE-2017-0199 更新patch file如下,敬請用戶自行確認主機版本與透過windows update 程式進行更新(https://portal.msrc.microsoft.com/en-US/security-guidance )。
(2) 更新CVE-2017-0145(MS17-010)。
(3) 關閉WMI (windows Management Instrumentation) 遠端安裝。

2. 已可偵測病毒之廠商清單
參考Virustotal 所提供之清單如下:
防毒廠商/ IPS廠商 偵測病毒名稱
TrendMicro Ransom_PETYA.TH627
Symantec Ransom.Petya
Sophos Troj/Petya-BJ
Palo Alto Networks (Known Signatures) generic.ml
Microsoft Ransom:Win32/Petya.A
McAfee Ransom-Petya!E285B6CE0470
Kaspersky HEUR:Trojan-Ransom.Win32.PetrWrap.d
Fortinet W32/Petya.EOB!tr
F-Secure Trojan:W32/Petya.G
ESET-NOD32 a variant of Win32/Diskcoder.C
CrowdStrike Falcon (ML) malicious_confidence_68% (D)
BitDefender Trojan.GenericKD.5502931
AVG Win64:Malware-gen
AegisLab Troj.Ransom.W32!c
Tencent Win32.Trojan.Ransomware.Skuo

【參考資料】

【更新紀錄】

  • v1.0 (2017/06/28):發佈事件通告。

 
 
下框